§ 21 Verarbeitung personenbezogener Daten
In Kraft seit 21. Juni 2022
Up-to-date
(1) Die juristischen Personen nach § 8 Abs. 1 und die Bediensteten der externen Meldestelle sind Verantwortliche gemäß Art. 4 Z 7 Datenschutz-Grundverordnung. Sie sind ermächtigt, soweit dies zur Erfüllung der Aufgaben nach diesem Gesetz erforderlich ist, folgende personenbezogenen Daten von Hinweisgeberinnen/Hinweisgebern, betroffenen und anderen in einer Meldung oder Offenlegung erwähnten Personen sowie von Folgemaßnahmen betroffenen oder anderen in Folgemaßnahmen genannten Personen zu verarbeiten: Identifikationsdaten, Erreichbarkeitsdaten, berufsbezogene Daten sowie Daten im Zusammenhang mit Verstößen und Folgemaßnahmen einschließlich deren Ergebnisse.
(2) Als Identifikationsdaten gelten:
1. bei natürlichen Personen der Familien- und der Vorname, das Geschlecht, das Geburtsdatum, allfällige akademische Grade, Standesbezeichnungen und Titel,
2. bei juristischen Personen und Personengesellschaften die gesetzliche, satzungsmäßige oder firmenmäßige Bezeichnung und hinsichtlich der vertretungsbefugten Organe die Daten nach Z 1 sowie die Stammzahl gemäß § 6 Abs. 3 des E Government-Gesetzes und die Umsatzsteuer-Identifikationsnummer.
(3) Als Erreichbarkeitsdaten gelten Wohnsitzdaten und sonstige Adressdaten, die Telefonnummer, elektronische Kontaktdaten, wie insbesondere die E-Mail-Adresse und Telefax-Nummer, oder Verfügbarkeitsdaten.
(4) Die Ermächtigung nach Abs. 1 bezieht sich auch auf personenbezogene Daten nach Art. 9 Abs. 1 DSGVO sowie personenbezogene Daten über gerichtlich oder verwaltungsbehördlich strafbare Handlungen oder Unterlassungen, insbesondere auch über den Verdacht der Begehung von Straftaten, sowie über strafrechtliche Verurteilungen oder vorbeugende Maßnahmen gemäß Art. 10 DSGVO. Die Verarbeitung dieser Daten ist zulässig, wenn
1. die Verarbeitung zur Erreichung der in Abs. 1 genannten Zwecke unbedingt erforderlich ist,
2. das öffentliche Interesse an der Verarbeitung zur Erreichung der in Abs. 1 genannten Zwecke erheblich ist und
3. wirksame Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen getroffen werden.
(5) Dritte, die nach § 10 Abs. 2 herangezogen werden, sind ermächtigt, personenbezogene Daten nach Abs. 1 unter Beachtung des zulässigen Verarbeitungszweckes zu verarbeiten, soweit dies unabdingbare Voraussetzung für die Erfüllung der übertragenen Aufgaben ist.
(6) Wenn Gemeinden nach § 8 Abs. 2 interne Hinweisgebersysteme gemeinsam betreiben, sind sie ermächtigt, personenbezogene Daten nach Abs. 1 unter Beachtung des zulässigen Verarbeitungszweckes als gemeinsam Verantwortliche gemäß Art. 26 DSGVO zu verarbeiten. In diesen Fällen nehmen sie, sofern nicht anderes vereinbart ist, jeweils für ihren Bereich die sich aus der DSGVO und aus dem Datenschutzgesetz ergebenden Pflichten wahr, insbesondere was die Rechte der von der Verarbeitung betroffenen Personen betrifft. Anlaufstelle für die betroffenen Personen ist die Gemeinde, der der gemeldete Verstoß zuzurechnen ist.
(7) Interne Meldestellen und die externe Meldestelle sind ermächtigt, personenbezogene Daten nach Abs. 1 und 4 unter Beachtung des zulässigen Verwendungszweckes und des § 5 Abs. 2 und 4 an Organe und Dienststellen des Bundes, der Länder und der Gemeinde zu übermitteln, soweit dies unabdingbare Voraussetzung für die Erfüllung der übertragenen Aufgaben ist.
(8) Interne Meldestellen und die externe Meldestelle sowie Dritte nach Abs. 5 haben technische und organisatorische Vorkehrungen zu treffen, die den Schutz der Geheimhaltungsinteressen der betroffenen Personen garantieren. Als solche Schutzvorkehrungen sind insbesondere der Schutz der Daten vor unbefugtem Zugriff und die Verschlüsselung der Daten bei der Übermittlung in öffentliche Netze vorzusehen.
(9) Solange und soweit es zum Schutz der Identität der Hinweisgeberinnen/Hinweisgeber oder zum Zweck der Ergreifung von Folgemaßnahmen erforderlich ist, um insbesondere Versuche der Verhinderung, Unterlaufung oder Verschleppung von Meldungen oder von Folgemaßnahmen zu unterbinden, finden folgen Rechte der betroffenen Personen keine Anwendung:
1. Recht auf Information (Art. 13 und 14 Datenschutz-Grundverordnung, § 43 Datenschutzgesetz);
2. Recht auf Auskunft (Art. 15 Datenschutz-Grundverordnung, § 1 Abs. 3 Z 1 und § 44 Datenschutzgesetz);
3. Recht auf Berichtigung (Art. 16 Datenschutz-Grundverordnung, § 1 Abs. 3 Z 2 und § 45 Datenschutzgesetz);
4. Recht auf Löschung (Art. 17 Datenschutz-Grundverordnung, § 1 Abs. 3 Z 2 und § 45 Datenschutzgesetz);
5. Recht auf Einschränkung der Verarbeitung (Art. 18 Datenschutz-Grundverordnung, § 45 Datenschutzgesetz);
6. Widerspruchsrecht (Art. 21 Datenschutz-Grundverordnung);
7. Recht auf Benachrichtigung von einer Verletzung des Schutzes personenbezogener Daten (Art. 34 Datenschutz-Grundverordnung, § 56 Datenschutzgesetz).
(9) Personenbezogene Daten sind von einer/einem Verantwortlichen ab ihrer letztmaligen Verarbeitung oder Übermittlung dreißig Jahre und darüber hinaus so lange aufzubewahren, als es für die Durchführung verwaltungsbehördlicher oder gerichtlicher Verfahren oder zum Schutz einer der in Abs. 1 genannten Personen erforderlich und verhältnismäßig ist. Nach Entfall der Aufbewahrungspflicht sind personenbezogene Daten zu löschen.
Rückverweise
Keine Verweise gefunden